程序:
1。数据管理
数据管理员将创建、沟通和执行数据维护和控制方法。数据管家也将有知识的功能区域和使用的数据和信息支持这些功能。副总统是负责最终的数据管理和管理在各自领域的责任,并且所有大学的默认数据管家的数据。公认的数据管家中列出附批准表。
2。数据维护和控制方法
数据管家将开发和维护数据维护和分配系统的控制方法。
当授权和分配中定义访问控制数据维护和控制方法涉及机密数据和操作关键数据,数据管理员将用户权限限制在最小的访问必须基于工作职责履行工作职能。
如果数据系统提供的系统是一个大学,大学将提供技术服务,根据客户要求,指导和服务的任务中标识数据维护和控制方法。
如果系统是由一个公共云,数据管理员必须验证数据维护和公共云提供商使用的控制方法符合当前大学技术标准。此外,当前正在进行的会议规定大学技术和安全标准必须包括在服务合同。
审查的公共云解决方案必须包括大学技术服务和法律事务办公室之前最后方案选择和购买。
美国的个人设备进行大学业务必须遵守所有指导生产提供的,和所有大学的政策。 3所示。数据保管工作 托管人将使用数据符合既定的数据维护和控制方法。故障处理或处理数据符合系统的建立方法将被认为是违反了OU AP&P # 890大学信息技术资源的使用中定义和制裁,政策可能适用。
4所示。数据使用 在所有情况下,大学提供的数据将用于根据隐私权声明访问大学主页www.www.zhongqiwg.com,在大学指南提供这些数据给(数据源)提供的指导方针。
软件解决方案,包括SaaS解决方案,选择管理数据和采购,购买和安装与相关软件(比如大学政策OU AP&P # 870软件条例和OU AP&P # 1000采购政策)。 公布的数据将按照大学政策(如OU AP&P # 470释放学生的教育记录)。请求信息从外部机构(如《信息自由法》请求,传票,执法机构请求,或任何其他请求数据从外部源)必须针对法律事务办公室和加工按照现有政策,特别授权使用OU AP&P # 890大学信息技术资源的使用。 标准安全文件传输或数据交换,必须由大学评价技术服务系统其他比大学时选择系统提供数据或利用公共云时。语言可能需要特定的合同。法律事务办公室必须咨询关于这样的语言。 未加密的授权和数据传输是不能接受的。 数据用于追求教学、学习、研究和管理必须设法保持完整性和信任。这是所有那些使用数据的责任。 通信的机密数据(即通过终端用户的通讯技术。、电子邮件、即时消息、聊天或其他通信方法)是被禁止的。UTS可以验证如果一个特定的技术适用于机密数据交流。 5。存储数据 数据不能存储在系统之外的其他大学提供数据系统没有数据管家的事先许可,并演示了合法的需要。
数据应该存储在加密格式尽可能。机密数据必须存储在加密的格式。应当检查加密策略与大学技术服务提前避免意外数据停工。 数据不能存储在University-provided计算设备,除非设备加密没有事先许可的数据管家,并演示了合法的需要。 数据必须存储在设备和位置通过数据管家。如果信息技术资源(电脑、打印机和其他项目中定义OU AP&P # 890大学信息技术资源的使用)存储在一个校外的位置,位置必须通过数据管家和ut,之前大学使用这些资源存储数据。 新技术使数据的存储传真机、复印机、手机、销售点设备和其他电子设备。数据由专人负责发现存储数据和删除数据发布前的设备。 当批准移动计算设备的使用,数据管理员必须确认这些使用移动计算设备可以提供哪些数据信息存储在设备上(比如上次备份的副本)如果设备丢失或被盗。 在所有情况下,数据存储必须符合大学保留政策。数据使用公共云系统中必须有特定的保留标准写在服务合同。法律事务办公室必须咨询关于这样的语言。 返回所有大学的数据规定在合同终止的事件必须包括在合同中,当数据是存储在一个公共云。法律事务办公室必须咨询关于这样的语言。当前安全标准(如访问控制,个人防火墙、杀毒软件、全面更新和修补操作系统,等等)将评估当系统除了选择一所大学提供的数据系统,必须在合同语言。法律事务办公室必须咨询关于这样的语言。 数据存储在移动计算设备必须由目前的安全保护标准方法(如访问控制、防火墙、防病毒、全面更新和修补操作系统,等等)。 大学标准程序的保护和维护机密数据和操作关键数据必须应用同样没有例外大学提供的数据系统,移动计算设备和系统以外的大学提供的数据系统,如公共云解决方案。 6。系统和网络数据 通过系统或网络系统和网络数据,生成管理、日志或其他系统记录活动,不能使用,或被俘,收集、分析和传播,没有首席信息官的事先许可,大学技术服务。
7所示。值的数据
在所有情况下,通过公共云数据处理,必须完成以下评估:
- 数据的值必须以某种有形的方式决定的。
- 签名数据主管部门副总裁的批准或适当的政党能够授权活动的价值层面的数据必须获得。
8。制裁 未能遵守指导方针包含在本文档将被认为是大学信息技术资源的不当使用,因此违反或者AP&P # 890大学信息技术资源的使用。制裁将遵循这一政策确定的步骤。 9。数据安全违反审查小组 数据安全漏洞审查小组(小组)将成立由以下成员:
助理副总裁和控制器
首席信息官
警察局长
校园通讯主任
注册商
风险管理负责人
法律事务办公室 如果发现未经授权的用户访问机密数据,必须联系小组的一员,他将召集面板。这与面板接触必须尽快启动后违反为了帮助大学履行其法律义务,可能是由数据管理员,由用户的数据,丢失或被盗笔记本电脑的所有者或存储设备,或未经授权的人都意识到数据访问。
潜在的数据安全隐患,需要通知的例子包括,但不限于:
- 盗窃或损失一台笔记本电脑,台式电脑,或者存储设备用于存储机密数据
- 未经授权的访问数据库系统或大学系统或网站的攻击。
小组将:
- 检查情况和评估潜在的曝光数据。预计系统的所有者将能够识别机密数据被存储在系统中。
- 执行必要的数字取证评估并采取措施限制违约的威胁。
- 制定和实施大学应对计划,以确保遵守所有的法律和其他义务的违反。
|